Principio de Transparencia | Melián Abogados

El principio de transparencia en la Protección de Datos Personales

Uno de los principios relativos al tratamiento de datos personales se refiere a que los datos personales deberán ser tratados por el responsable del tratamiento de manera transparente en relación con el interesado.

Este principio se concreta en la obligación del responsable del tratamiento de tomar las medidas oportunas para facilitar al interesado información sobre el tratamiento de datos que se tiene intención de llevar a cabo o ya está realizando, y exige que esa información se facilite en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, características en la que hay que poner especial énfasis cuando se trata de informar a niños.

El Principio de Transparencia

La información deberá ser facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá́ facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios. Recordar en este punto, que es al responsable al que corresponde acreditar el cumplimiento de este principio, por lo cual, aun siendo admisible la información verbal cuan el interesado lo solicite, habrá que tomar medidas para probar que se ha llevado a cabo.

Se prevé que la información pueda transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

El derecho de información

El principio de transparencia debe estar presente, ya, desde el momento en el que se recogen los datos para el tratamiento, El responsable tiene la obligación de informar al interesado de las circunstancias del tratamiento, distinguiendo si los datos se han obtenido directamente del interesado o no.

Cuando los datos personales se obtengan directamente del interesado

El responsable del tratamiento, en el momento en que los datos personales se recaben, y salvo que el interesado ya disponga de esa información, está obligado a informar de lo siguiente:

  • La identidad y los datos de contacto del responsable y, en su caso, de su representante.
  • Datos de contacto del Delegado de Protección de Datos, cuando exista.
  • Los fines de tratamiento, es decir para que van a usarse sus datos
  • La legitimación o base jurídica que ostenta para ello.
  • Si la base jurídica es el interés legítimo.
  • Si los datos van a ser cedidos a un tercero, a quién.
  • Si está previsto transferir los datos personales a un tercer país u organización internacional.
  • Por cuánto tiempo se van a conservar los datos
  • Los derechos que tiene el interesado (acceso, rectificación o supresión, limitación del tratamiento, oposición, derecho a la portabilidad).
  • Que tiene derecho a retirar el consentimiento, cuanto el tratamiento se base en él.
  • La posibilidad de presentar una reclamación ante una autoridad de control, en España La Agencia Española de Protección de Datos Personales.
  • Si la comunicación de datos es un requisito legal contractual o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
  • Si existen decisiones automatizas, incluida la elaboración de perfiles.

Cuando los datos personales no se hayan obtenidos directamente del interesado

Para cumplir con el principio de transparencia la información que deberá facilitar el responsable del tratamiento al interesado será:

  • La identidad y los datos de contacto del responsable y, en su caso, de su representante.
  • Datos de contacto del Delegado de Protección de Datos, cuando exista.
  • Los fines de tratamiento, es decir para que van a usarse sus datos
  • La legitimación o base jurídica que ostenta para ello.
  • Las categorías de datos personales de que se trate.
  • Si los datos van a ser cedidos a un tercero, a quién
  • Si está previsto transferir los datos personales a un tercer país u organización internacional.
  • Por cuánto tiempo se van a conservar los datos
  • Si la base jurídica es el interés legítimo.
  • Los derechos que tiene el interesado (acceso, rectificación o supresión, limitación del tratamiento, oposición, derecho a la portabilidad).
  • Que tiene derecho a retirar el consentimiento, cuanto el tratamiento se base en él.
  • La posibilidad de presentar una reclamación ante una autoridad de control, en España La Agencia Española de Protección de Datos Personales.
  • La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público
  • Si existen decisiones automatizadas, incluida la elaboración de perfiles.

Plazos

En este segundo supuesto la información se deberá facilitar dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos; si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

Excepción de informar

El responsable sólo quedará exento de informar cuando el interesado ya disponga de la información; y cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, o en la medida en que la obligación de informar pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. La obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros, o cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

Información en dos capas

La Agencia Española de protección de Datos en su guía para el cumplimiento del deber de informar establece que se puede llevar a cabo el cumplimiento del derecho a la información en dos capas, una primera capa con información básica y una segunda capa que contuviera el resto de la información. La nueva Ley Orgánica de Protección de datos y de Garantía de los Derechos Digitales, siguiendo este criterio establece que se puede facilitar una primera información básica, y una dirección electrónica u otro medio, que permita acceder a de forma sencilla e inmediata al resto de la información. La información básica deberá contener, al menos:

Información básica

  • La identidad del responsable del tratamiento y en su caso de su representante.
  • La finalidad del tratamiento
  • La posibilidad de ejercer los derechos que establece el Reglamento europeo de protección de datos en sus artículos 15 a 22.
  • Y en su caso, la circunstancias de que los datos serán usados para la elaboración de perfiles

Si los datos personales no se han recabado directamente del interesado, esta primera capa deber a contener además:

  • Las categorías de datos objeto del tratamiento
  • Las fuentes de las que procedieran los datos

Información cuando cambie la finalidad del tratamiento

Si con posterioridad el responsable del tratamiento desea llevar a cabo un tratamiento distinto, para otro fin que no sea aquel para el que se recogieron, deberá antes de comenzar ese nuevo tratamiento proporcionar al interesado, información sobre ese otro fin y cualquier información adicional pertinente.

Videovigilancia

Cuando se trate de tratamientos con fines de videovigilancia, el deber de información se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento General de Protección de Datos1derecho de supresión, limitación del tratamiento, portabilidad y derecho de oposición..

Se puede descargar un modelo de cartel informativo desde la web de la Agencia Española de Protección de Datos. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información. Pero además, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento.

Cuando la videovigilancia tenga por finalidad funciones de control de los trabajadores o los empleados públicos, el responsable del tratamiento habrá de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.

Sistemas de geolocalización en el ámbito laboral

Si se pretende establecer un sistema de geolocalización en el ámbito laboral, con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

El derecho de acceso

Una vez ya en marcha el tratamiento, este deber de transparencia se manifiesta a través del derecho de acceso, mediante el cual el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, que se le informe de las peculiaridades de ese tratamiento, como cuales son los fines del tratamiento; que categorías de datos personales de se tratan; si se han comunicado los datos a un tercero; por cuanto tiempo se van a conservar; que derechos tiene, el derecho a presentar una reclamación ante una autoridad de control; cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; si hay decisiones automatizadas, incluida la elaboración de perfiles. Si han existido transferencias internacionales de datos.

  • El derecho de acceso implica que el responsable debe facilitar al interesado una copia de los datos personales que trata. Si el interesado desea una segunda copia que podrá ser cobrada por el responsable del tratamiento.
  • Si la solicitud de acceso se presenta por medios electrónicos, y a menos que el interesado solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
  • El responsable del tratamiento podrá cumplir con el derecho de acceso facilitando un acceso remoto.
  • Si el responsable trata una gran cantidad de datos relativos al afectado y éste ejercita su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
  • Cuando el interesado ejercite el derecho de accedo el responsable del tratamiento deberá responder en el plazo de un mes a partir de la recepción de la solicitud, plazo prorrogable por otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes, lo cual deberá comunicarse al interesado en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

El derecho de acceso, al igual que el derecho de información visto más arriba, es gratuito, el Responsable no puede cobrar por facilitar este derecho, no obstante ante solicitudes reiteradas por medio del interesado o elección, para atender el derecho de acceso, de un medio distinto al que ofrece el responsable, y que suponga un coste desproporcionado, si se podrá cobrar un canon razonable en el primer supuesto o el exceso de costes en el segundo.

Transparencia informativa de las brechas de seguridad

El Reglamento General de Protección de datos establece la obligación de notificar las violaciones de la seguridad de los datos personales, por un lado a la autoridad de control, y en lo que aquí nos interesa, a los interesados. Esta obligación de información a los interesados es exigible cuando la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, se debe hacer sin dilación indebida, describiendo en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; las posibles consecuencias de la violación de la seguridad de los datos personales; las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

No es necesario informar al interesado si se dan determinadas condiciones como cuando se hayan adoptado medidas de protección técnicas y organizativas apropiadas como el cifrado, o se haya tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado, o suponga un esfuerzo desproporcionado pudiendo en este caso sustituirse por una comunicación pública o medida semejante.

El derecho de información en cuanto a las personas fallecidas 

El Reglamento General de Protección de Datos no se aplica a la protección de datos personales de personas fallecidas, no obstante la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales permite, salvo que la persona fallecida lo hubiera prohibido o una ley lo prohíba, que las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos puedan dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella.

También disponen de este derecho de información las personas o instituciones a las que el fallecido hubiese designado expresamente para ello. Si se trata de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal. Y si fuera un incapaz, además de las señaladas en cuanto a los menores, podrán ejercitarlo quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

¿Te ha gustado el artículo?
* Por favor, Vota con las estrellitas que están al comienzo

Contenido Relacionado



Notas   [ + ]

1. derecho de supresión, limitación del tratamiento, portabilidad y derecho de oposición.